Computer Viruses on the ST

 "Those who know, do not say; those who say, do not know."

                COMPUTER VIRUSES ON ST/TT/FALCON
                      by Richard Karsmakers

 Well,  things have again not been entirely silent with regard to
viruses  on our beloved computer.  By now the discovery of a  new
virus no longer changes the way my mouth excretes saliva,  but  I
still get excited to see what evil things have been done now, for
I am here to battle evil and all those sort of things.
 In  the mean time the latest "Ultimate Virus Killer"  stands  at
6.3,  released in early July. To get you in touch with the things
that  have changed during the last few couple of versions I  have
added an excerpt from the "UVK" "HISTORY.TXT" file below, as well
as an excerpt of the "VIRUSES.TXT" file containing the latest few
viruses.

Update on the "Lucky Lady" business

 Although  I  haven't  heard from her in  a  while  now,  I  have
receiving  more  mail  from this mysterious  girl  in  Ljubljana,
Slovenia, who goes by the name of Lucky Lady. I have no reason to
like the things she's writing about, because there are said to be
virus   programming  contests  down  there  (with  entries   from
Slovenia,  Germany, Hungary and other countries) and an "Ultimate
Virus  Designer" program is in the making and due for release  in
the third quarter of this year.
 A  thing  that  also  frightened me is  the  fact  that  she  is
apparently  designing  a link-n-bootsector hybrid kind  of  virus
that shall be known by the name "Valkyrie". It will spread like a
link virus, as far as I've understood, and will be very difficult
to trace.  As a 'bonus' of sorts,  it will also spread the "Lucky
Lady v1.03" virus.
 I can hear you,  dear reader,  wondering why I am giving her all
this attention.  Well, that's a good question and I will give you
a good answer:  It's news.  I don't like what she's doing,  and I
pray to whoever's up there that at least she bothers so send  her
vile  creations  to me.  But it's my duty to fight  her,  and  of
course I'll tell you all about it.
 I  have reason to believe that some rather frightful  news  will
reach me by the next issue of ST NEWS.

What has happened to the "Ultimate Virus Killer" in recent times

- Version 6.1GB (January 8th 1994)

 After the major reprogramming around version 6.0, a few bugs had
once more crept in the program. These are now fixed. A summary of
the changes follows.

* A rare wrong assignment of [UNDO] key shortcut alleviated.
* All birthday-related routines, resource trees and data removed.
  For those of you still interested in that kind of  information,
  try  getting  the forthcoming "Brain  Replacement  Utility",  a
  powerful diary/organiser utility with an enormous birthday  and
  event database.  This is a forthcoming shareware program that I
  will be on the UVK 6.3 disk if I get it finished by then.
* There's been a bug in the program right from the beginning when
  the  link virus automatic scan was built in  (March  1989).  It
  resulted in folders not being scanned completely (usually  only
  around  10  files  per  folder  on  average).  Kai  found  this
  frightful  bug some time ago and I thought I had already  fixed
  it in the previous version.  Well,  I hadn't.  But now it is! I
  WOULD STRONGLY ADVISE EVERYBODY TO RESCAN THEIR MEDIA ONE  TIME
  (especially all hard disk partitions).
* Thanks to Mike Watson of Sinister Developments,  author of  the
  "New Depack" utility,  just about twice the previous amount  of
  packer   formats  can  now  be  recognized  (and  some   others
  recognized more efficiently).
* The   program   now  supports  a  special  extension   in   the
  configuration file that is used to determine the minimum size a
  file must have in order to be checked in the "check all  files"
  link virus scan department.  You can use any of the  extensions
  you  want for this (even multiple ones) but only the  last  one
  found will be used so it's best the use the very last entry for
  this.
  The format is ".XXX",  where "XXX" stands for the minimum  size
  in kilobytes (i.e. the actual file size divided by 1024) from 0
  to  999.  When none is specified,  the program uses  a  default
  minimum  size  of  3 Kb  (i.e.  3072  bytes).  The  larger  the
  specified  size,  the quicker the link virus scan but THE  LESS
  SAFE!
  In all cases fill up the value with zeroes to the left to  make
  sure the length is 3 digits (so "123", "003" and "030" would be
  valid entries).
* Resource organisation is optimized. There used to be 2 resource
  files with a total size of over 60 Kb,  catering especially for
  ST  medium and high resolutions.  On TT and Falcon  modes  with
  more than two colours,  however,  their colours didn't look all
  too well.  Instead of adding a third resource file with  proper
  colours I have spent some extra work and optimized one resource
  file  to  cater  for everything in  exchange  for  the  program
  looking  somewhat  less aesthetic  in  medium  resolution.  The
  resource file is now less than 22 Kb and,  as there's only  one
  now,  I have been able to include it within the actual program.
  No separate resource files of any kind needed.
  An  added  bonus is the fact that all resources are  now  drawn
  quicker  and no longer exceed the legal 79  characters  maximum
  width such as the "System Status Screen" did before.
* As the resource file is now included within the program,  there
  is no reason to keep the program uncompressed (version 6.0  was
  not  compressed due to "Pa Pack" not allowing an accessory  run
  from "Chameleon" to load a resource). So it's compressed again,
  using the aforementioned "Pa Pack".

 This version's main statistics:  1497 recognized bootsectors, 76
recognized  bootsector viruses,  5 recognized  link  viruses,  40
recognized anti-viruses, 140 recognized resident applications and
83 recognized packer version formats (of a total of 27  different
packers). A total of 714 different bootsectors can be restored.

- Version 6.0D GB (January 8th 1994)

 The first demo version of the new GEM-compatible "Ultimate Virus
Killer".  Especially  made for the UK magazine "ST Format"  cover
disk  this  time,  which had had no UVK demo version  since  July
1991. Although it's a demo of version 6.1, the version number was
decreased so as not to confuse people (?).

- Version 6.1USA (January 8th 1994)

 Identical to version 6.1GB,  with the exception of the main menu
address,  the date entry format and selected text  changes.  Made
for distribution by Oregon Research Associates.

- Version 6.1NL (January 8th 1994)

 Identical to version 6.1GB, with the exception of the name ("ACN
Final Virus Killer") and all text output, which is in Dutch.

- Version 6.2GB (April 13th 1994)

 Another rather improved version. Some additions and changes were
made in reaction to a,  let's say, 'very critical' and not at all
constructive  review appearing in the Australian "Talking  Atari"
magazine.  And  I  finally got around to doing  something  I  had
wanted to do for a long while...windows.

* It  now supports windows instead of dialogs at all  times  with
  the exception of the HELP dialog which was too big to allow for
  the  window  move bar at the top.  The resource file  has  been
  adapted,  with  the system status screen having gone through  a
  layout change that also makes things more clear.
* Buttons  additionally supported by the [UNDO] key now have  the
  text  "(U)"  contained in them.  The  'checkmark'  of  previous
  versions has disappeared.
* Misspelling  of  the System Status  Screen  Hdv_mediach  vector
  address corrected.
* "No  Virus  in  Keyboard Processor" message  in  system  status
  screen  dumped.  No  virus  can write itself  to  the  keyboard
  processor, so it was just ballast.
* Apart  from  packed  program  files,   archives  are  now  also
  identified.  An  appropriate dialog box has been added,  and  a
  HELP screen adapted.
* Printing  now works on the Falcon.  As a matter  of  fact,  the
  program  will  use a serial or parallel  printer  depending  on
  which is detected.
* When you started with a nonvalid date and went through the time
  and date dialog boxes to set it,  the day indication in further
  dialog boxes was wrong. This is now fixed.
* When a "99% safe disk" is found,  there is now a fifth  option,
  "Do Nothing".
* "HISTORY.PRG"  program file is updated (to  version  1.05).  It
  will  now work on any monitor as long as it displays a  minimum
  of 80 columns (640 pixels width).  Previously it worked ONLY on
  80 columns, and not on all systems either.
* The  program  can  no longer be  loaded  from  the  "Chameleon"
  accessory loader.  If you want it to work anyway,  you have  to
  decompress  it first.  For this purpose you can use any of  the
  available Public Domain decompressor utilities such as "Naughty
  Depacker",  "Multi Depacker" or "New Depacker".  Check out your
  local PD library.

 This  version's  main statistics:  1509  recognized  bootsectors
(yes, we have gone past the 1500 mark!), 79 recognized bootsector
viruses,  5 recognized link viruses,  40 recognized anti-viruses,
155   recognized   resident  applications   and   89   recognized
packer/archive  version  formats  (of a  total  of  33  different
packers/archivers).  A total of 718 different bootsectors can  be
restored.

- Version 6.2USA (April 13th 1994)

 Identical to version 6.2GB,  with the exception of the main menu
address,  the date entry format and selected text  changes.  Made
for distribution by Oregon Research Associates.

- Version 6.2NL (April 13th 1994)

 Identical to version 6.2GB, with the exception of the name ("ACN
Final Virus Killer") and all text output, which is in Dutch.

- Version 6.3GB (July 17th 1994)

 It  was hot and I had a dozen things to do.  Nonetheless  I  set
aside considerable time to the finishing of this version.

* A  decryption engine has been developed to make sure  encrypted
  bootsector   viruses  will  also  have  a  more  valid   "Virus
  Probability  Factor" calculated (for example,  the "Zorro"  and
  "Macumba"  viruses  used to have a VPF of  0%,  now  a  massive
  110%).
* The  CPX  module  had quite a serious bug  -  no  matter  which
  bootsector you had analysed by it, it always wrongly identified
  it  as an "ACA Virus".  This is now fixed (CPX  module  version
  1.41).
* Some    window   redraw   errors   ("now    checking..."    and
  "restoring...") fixed.
* A bug in the "Beilstein" virus recognition is now fixed.
* A  bug in the printer output routines fixed (parallel  printers
  were addressed as :LST instead of :PRN).

 This version's main statistics:  1532 recognized bootsectors, 83
recognized  bootsector viruses,  5 recognized  link  viruses,  40
recognized anti-viruses, 165 recognized resident applications and
89  recognized packer/archive version formats (of a total  of  33
different   packers/archivers).   A   total  of   735   different
bootsectors can be restored.

- Version 6.3USA (July 17th 1994)

 Identical to version 6.3GB,  with the exception of the main menu
address,  the date entry format and selected text  changes.  Made
for distribution by Oregon Research Associates.

- Version 6.3NL (July 10th 1994)

 Identical to version 6.3GB, with the exception of the name ("ACN
Final Virus Killer") and all text output, which is in Dutch.

- Version 6.3GB D

 A  few  demo versions of this have  been  released,  all  fairly
(actually  almost  exactly)  similar to version 6.2  but  with  a
higher version number.
 May 6th 1994:  For the German company ROMWARE GmbH, for a Public
Domain and Shareware CD ROM project.
 May  18th  1994:  For the English magazine "ST  Handbook"  cover
disk.

- Version 6.4GB (Approximately October 1994)

 Or: What may occur in future updates, or perhaps never.

* When using the program as accessory,  it might cause improperly
  programmed  other  accessories to crash during  the  time  it's
  decompressing.   This  can  be  solved  by  decompressing   the
  "Ultimate Virus Killer" file beforehand.  This can be done with
  any  of  many decompression utilities available in  the  Public
  Domain,  such  as "Multi Depacker",  "Naughty Depack" and  "New
  Depack".  This  problem  may be addressed  more  eloquently  in
  future versions.
* An  additional tool will be written that allows for  any  files
  with ZIP, ZOO, ARC, LZH or ARJ extensions (i.e. archived files)
  to  be  automatically dearchived into a buffer  directory  and,
  using the existing UVK command line options,  checked for  link
  viruses.  This  will only be of use for people who own  a  hard
  disk, of course.
* To evade problems with "MultiTOS" memory protection,  no system
  RAM check or resident illegally reset-resistant programs  check
  is executed in the system status screen when this multi-tasking
  system  is found.  These checks still happen  with  "MultiGEM",
  "Mag!x" and "Geneva" as far as I know,  so these might lead  to
  crashes with memory protection enabled.  Remember you can  skip
  the entire system status screen at bootup by keeping the [RIGHT
  SHIFT]  key  pressed during booting.  Information  on  how  the
  mentioned  multi-tasking  Operating Systems can  be  recognized
  would be appreciated in case of them causing a crash.
* The  general statistics will be enhanced as much as  they  can,
  and possible bugs will be discarded.

And the latest additions at the virus front are...

Virus #77

Name: Lucky Lady 1.02 Virus.
Type: Memory-resident bootsector virus.
Discovery date: February 1994.
Virus can copy to drive(s): Floppy drive A only.
Virus attaches itself to: Hdv_bpb and vbl queue.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can  happen:  A  message ("Lady Luck  rules  forever!")  is
 printed continuously on the screen, locking your system. A reset
 is the only way out.
When does that happen:  After about an hour (on monochrome 70 Hz)
 or an hour and fifteen minutes (colour 50 Hz).
Resetproof: No.
Can copy to harddisk: No.
Remark: Coded by a female programmer who goes by the name of Lady
 Luck  of  Sector MP Inc.  from Ljubljana,  Slovenia  (in  former
 Yugoslavia).  She has initiated some sort of bizarre 'war',  and
 has vowed to write many more viruses to test both her talent  at
 writing  them  and my talents at killing  them.  She  sends  her
 latest creations to me by registered mail without  specification
 of the sender.  Nothing more is known about her, other than that
 she  studies  at Ljubljana University.  This virus  is  actually
 prettily clumsily written, and used to get a VPF of 220% because
 it used three separate instances of "rwabs", among other things.
 I have mixed feelings about all this,  and all I can say is that
 I'd love to kill her creations softly.

Virus #78

Name: Lucky Lady 4.12 Virus.
Type: Reset-proof memory-resident bootsector call virus.
Discovery date: March 1994.
Virus can copy to drive(s): Floppy drive A only.
Virus attaches itself to:  Hdv_bpb, resvector, vbl_queue.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can happen:  1) It puts message "Lucky Lady forbids you  to
 load the UVK!" on screen,  then erases  "UVK_x_x.PRG" files from
 current   drive   when  you try  to  load  the  "Ultimate  Virus
 Killer"  2)  Mouse  cursor is changed from TOS arrow   to  Lucky
 Lady's logo (LL) 3) Screws up the screen 4) Logical clusters 351
 &  352  are overwriten  and marked as 'bad' in  the  FAT  (Every
 cluster entry after 351 is thus a "floating entry" if there  was
 a file (data lost) present before on a disk).
When does that happen: Message and UVK file erasing happens every
 time you want to load  the "Ultimate Virus Killer". Mouse cursor
 is   changed after approximately 35 minutes on monocrome (a  bit
 longer on colour).  Clusters  351 & 352  are lost during cloning
 i.e. during every drive A access.
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  Like "Lucky Lady 1.02",  this virus is written by a girl
 from  Slovenia as part of her bizarre 'war' (see previous  virus
 remarks).  It's  not  called "Luckly Lady B" and the  other  one
 "Lucky Lady A" because the viruses are totally different despite
 their similar name.  This virus is much more complex and also  a
 lot more dangerous. It seems only to work on English versions of
 TOS 1.00, where the file name of the file currently being loaded
 is at a specific location.
 News  is  that this Sector MP Inc.  has set up  a  virus  coding
 school in former Yugoslavia.  Things are beginning to get out of
 hand.

Virus #79

Name: Anaconda Virus.
Type: Reset-proof memory-resident bootsector virus.
Discovery date: February 1994.
Virus can copy to drive(s): Current floppy drive (A or B).
Virus   attaches  itself  to:   Hdv_bpb,   resvector   and   also
 undocumented reset-resistant.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can  happen:  The  virus seems to be designed  to  print  a
 message on the screen,  "MAUI viens de vous niquer" (this  means
 something like "MAUI has just made fun of you").  However, there
 is  reason  to  believe it will in fact get  fed  a  bogus  text
 address and will thus print garbage instead.
When  does that happen:  After 10 successful copies are  made  of
 itself, and after that after every 5 copies.
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  Virus is located at $140,  but after the first reset  it
 relocates to phystop-$8200.  It is believed to have been written
 by the Replicants,  a cracking group from France, but this is in
 no  way  certain.  The text seems to indicate  a  French  origin
 anyway.

Virus #80

Name: Lucky Lady Virus 1.03.
Type: Reset-proof memory-resident bootsector virus.
Discovery date: April 1994.
Virus can copy to drive(s): A.
Virus attaches itself to:  Hdv_bpb, undocumented reset-resistant,
 resvector, vbl_queue.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What can happen:  The message "Lucky Lady's your empress" appears
 on screen after which your system locks up.
When   does   that  happen:   Virus   activates   itself    after
 approximately  80-110  seconds;  the  system  will  lock  itself
 somewhere between 45 and 65 minutes.
Reset-proof: Yes.
Can copy to hard disk: No.
Remark:  Like  the  other viruses of a  similar  name,  this  was
 written  by  a Slovenian girl calling  herself  Lucky  Lady.  It
 cleverly  disguises  itself as an "ST Format Cover Disk"  -  the
 virus is a personal revenge against writer Clive Parker - and is
 Falcon-compatible.

Virus #81

Name: Anaconda Virus B.
Type: Reset-proof memory-resident bootsector virus.
Discovery date: Spring 1994.
Virus can copy to drive(s): Current floppy drive (A or B).
Virus   attaches  itself  to:   Hdv_bpb,   resvector   and   also
 undocumented reset-resistant.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What  can  happen:  The virus prints the text "AKO-PADS"  on  the
 screen.  Also, the virus will corrupt the disks it copies itself
 to.
When  does that happen:  After 10 successful copies are  made  of
 itself, and after that after every 5 copies.
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  This is either an adapted version of Anaconda A,  or the
 other way around.  There is no way to proof either. The virus is
 also known as "Ako Pads" virus.

Virus #82

Name: Pashley Virus.
Type: Memory-resident bootsector virus.
Discovery date: December 4th 1993.
Virus can copy to drive(s): Current floppy drive (A or B).
Virus attaches itself to: Hdv_bpb.
Disks can be immunized against it: No.
Immunizable with UVK: No.
What can happen: Screen flashing red. The virus will copy  itself
 across all non-executable bootsectors.
When  does that happen:  The flashing happens each time you  boot
 with an infected disk in the boot drive.
Resetproof: No.
Can copy to harddisk: No.
Remark:  Contains  the  texts "VIRUS KILLED BY  S.C.PASHLEY"  and
 "ENGLAND" which are never printed on the screen. Hence the virus
 name.  Virus bootsectors are actually left alone by the supposed
 anti-virus as they are normally executable. Maybe this virus was
 written by S.C.Pashley,  but probably not.  It is *not* an anti-
 virus because it copies itself and does nothing against  viruses
 as such.

Virus #83

Name: Gotcha Xeno Virus.
Type: Reset-proof memory-resident bootsector virus.
Discovery date: July 4th 1994 (Pawel Parys).
Virus can copy to drive(s): Current floppy drive (A or B).
Virus   attaches  itself  to:   Hdv_bpb,   resvector   and   also
 undocumented reset-resistant.
Disks can be immunized against it: Yes ($1E.L $263C0000).
Immunizable with UVK: No.
What can happen: The virus will write garbage, headed by the text
 "GOTCHA!"  on  random  tracks  (1-64)  and  sector  (0-7),  thus
 damaging data.
When  does that happen:  After 10 successful copies are  made  of
 itself, and after that after every 5 copies.
Resetproof: Yes.
Can copy to harddisk: No.
Remark:  It is unclear whether this is actually the Pre-Virus  of
 Anaconda,  or perhaps just another virus developed from it. Some
 of its characteristic (such as the fact that it fully works  and
 that   it   can  principally  be  immunized   against)   warrant
 classifying it as a separate virus.
 The reason that it can not be immunized against by the "Ultimate
 Virus  Killer"  despite location $1E not being occupied  by  any
 other bits of the immunization scheme is that,  officially (i.e.
 according to Atari's standards),  bootsector programs should not
 start  prior to offset $3A.  To rule out  possible  problems,  I
 decided to avoid it altogther.

 More  information  about  things  happening  in  the  world   of
computer  viruses  on ST/TT/Falcon may be expected  in  the  next
issue of ST NEWS.